O Lazarus Group, uma equipe de hackers conectada com a Coreia do Norte, está conduzindo um ataque de phishing que tem como alvo funcionários de indústria. A ideia é invadir computadores via arquivos maliciosos e roubar dados pessoais — principalmente dados que forneçam acesso aos Bitcoins, por exemplo.
A campanha de phishing tenta fisgar trabalhadores de indústrias diversas com emails alertando sobre vagas abertas em outras empresas. Dessa maneira, dentro do email, um arquivo Word como anexo está infectado e, por ele, que os cibercriminosos ganham acesso ao PC.
De acordo com a empresa de segurança Secureworks, a campanha de phishing ainda está ativa e que os dados são preliminares. Novas análises surgirão nas próximas semanas.
Ataque via Word é antigo
Em setembro deste ano, pesquisadores da Kaspersky Lab identificaram em disseminação na web um novo tipo de ataque via arquivos de texto do Microsoft Word. Inicialmente, softwares antivírus não identificavam a novidade como maliciosa pois ela não trazia nenhum segmento de código conhecido como mal-intencionado. Mas isso acontecia porque o objetivo do documento não era infectar a máquina, mas sim obter informações detalhadas sobre o software dela.
Os criminosos usavam técnicas de phishing sofisticadas para convencer as vítimas a baixar e abrir um arquivo do Word. Assim que isso era feito, o documento, cuidadosamente produzido, ativava a “função secreta” IncludePicture do editor da Microsoft. Combinando isso a uma série de links apontando para um segmento de código PHP, os criminosos eram capazes de coletar informações detalhadas sobre todo o software instalado no dispositivo, incluindo a versão do Microsoft Office, do sistema operacional, de programas de antivírus, e por aí vai. O IncludePicture tornava vulnerável o Windows (mobile e desktop), o Android e o iOS.
Fontes
Categorias